facultad de ciencias exactas y naturales y agrimensura -...
TRANSCRIPT
UNIVERSIDAD NACIONAL DEL
NORDESTEFacultad de Ciencias Exactas Y
Naturales y Agrimensura
Disertante: Maneiro Yanina
PHISHING
• Introducción
• ¿Qué es el Phishing?.
• Historia del phishing.
• Intentos recientes de phishing.
• Técnicas de phishing.
• Lavado de dinero producto del phishing.
• Daños causados por el phishing.
• Respuesta social.
• Respuestas técnicas.
• Respuestas legislativas y judiciales.
• Notas Importantes.
• Como lo denuncio?.
• Conclusiones.
TEMAS
INTRODUCCION
La información se ha convertido en un activo de altísimovalor, el cual se debe proteger y asegurar.
La masiva utilización de las computadoras y redescomo medios para almacenar, transferir yprocesar información se ha incrementado en losúltimos años.
•Son abiertas y accesibles
•Permiten intercambios rápidos y eficientes a nivel mundial y a bajo costo.
•Este concepto hace posible nuevas formas defuncionamiento de la sociedad actual que se vedificultada por las inseguridades que van dejando aldescubierto.
INTERNET
INTRODUCCION
Datos Interesantes
PROGRESION DE USUARIOS EN EL MUNDO
AÑO Nº Usuarios
1990 0,7-1 millón
2000 300-400 millones
2002 400-500 millones
2003 500-600 millones
2004 800 millones
2005 1.000 millones
Internet ha pasado de tener miles de usuariosen 1983 a más de 800 millones de usuarios en elmundo en el 2004 y 1000 millones en el 2005.
Fuente: Angus Reid Group
INTRODUCCION
El contenido más visto (Marzo 2007)
Tomando como base una muestra de 10 millones de usuarios de Internet, se obtuvieron los siguientes resultados respecto a los contenidos de sitios Webmás vistos.
Encuesta realizada y publicada por Hitwise.
11.6% -- Contenido Adulto9.9% -- Correo electrónico8.6% -- Entretenimiento7.8% -- Motores de Búsqueda7.8% -- Negocios / Finanzas7.6% -- Compras6.0% -- Redes sociales3.5% -- Noticias2.8% -- Educación1.8% -- Viajes
INTRODUCCION
Tipos de Correo recibidos
Cantidades y tipo de correo electrónico que se recibe por parte de los usuarios de Internet. Se nota una fuerte incidencia del correo no solicitado y comercial.
0 1-10 11-30 31-50 50+
SPAM 3% 20% 19% 17% 41%
Trabajo o Negocios 7% 20% 20% 16% 37%
Amigos o Familia 0% 36% 38% 15% 11%
Oferta de Venta autorizada 3% 50% 34% 9% 4%
Interés personal o hobby 8% 59% 23% 6% 4%
Boletin de Negocios 17% 58% 17% 5% 3%
Estado de Cuenta o Factura 6% 84% 8% 1% 1%
estudio realizado por ROI Research
INTRODUCCION
Estadísticas hechas por la comScore.Networks (2006):
• 14% de toda la población mundial menor de 15 años utiliza internet.
• Sitios web más visitados:
MSN con 538 millones de visitas. Google con 495 millones de visitas.Yahoo! con 480 millones de visitas. Ebay con unas 300 millones de visitas.Time Warner Network con 241 millones de visitas.Amazon con 154 millones de visitas.Wikipedia con un estimado de 132 millones de visitas.
INTRODUCCION
El tamaño de Internet
• Las direcciones de e-mail crecieron de 253 millones en elaño 1998 a 1.600 millones en el año 2006 y ese año, eltráfico, incluyendo el spam, alcanzó los 6 exabytes.
• Para el año 2010 se espera que haya unos 1.600millones de usuarios.
El tamaño de Internet
INTRODUCCION
Cantidad de Usuarios de INTERNET en Argentina
• Internet continuó creciendodurante la crisisen Argentina durante el 2002.
0
2.000.000
4.000.000
6.000.000
8.000.000
10.000.000
12.000.000
Mar. '00 Sep. '00 Abr. '01 Dic. '01 Oct . '02 Abr. '03 May. '05 Ene. '06
• La cantidad de Usuarios de Internet en el país llegó alos 3.900.000 (10% población).
• Hoy hay mas de 10 millones de usuarios, lo querepresenta aproximadamente, el 26% de lapoblación.
Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003
INTRODUCCION
En el pasado, la posibilidad de conectarse con millones de clientes las 24 horas al día, los 7 días de la semana, era solamente posible para las grandes corporaciones.
Ahora, incluso una compañía conrecursos limitados puede competircon rivales más grandes ofreciendoproductos y servicios por Internet conuna inversión modesta.
www.mercadolibre.com.ar/
Comercio electrónico
INTRODUCCION
Las compañías han innovado el uso de conceptoscomo “personalización” para crear relacionesexclusivas e individuales con los clientes.
Pueden identificar a sus clientes virtuales por elnombre, ofrecerles productos basados enhábitos de compra previos y almacenar demanera segura la información de la dirección deldomicilio para agilizar las compras en línea.
INTRODUCCION
Comercio electrónico
Artículo obtenido de infobae.com (agosto 2006)
• “Más de un millón de argentinos realizan compras enInternet”.
• El 32,94% de los usuarios de Internet de la Argentina usa lared para realizar compras, lo que representa más de 1,3millones de personas.
INTRODUCCION
encuesta realizada por DeRemate.com con Zoomerang.com
Principales motivos de compras en INTERNET
29,51%
23,77%
35,25%
11,47%
M ejores precios M ás Variedad Comodidad Otros M otivos
Surgen nuevos desafíos que las empresas deben superar para tener éxito:
“Deben ofrecer servicios fáciles de utilizar y
totalmente seguros porque guardan
información confidencial como direcciones o
números de las tarjetas de crédito
personales, información de cuentas
bancarias, historias médicas, etc.”.
11,47
INTRODUCCION
Se ofrece un nuevo campo de acción aconductas antisociales y delictivas,
ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.
INTRODUCCION
• Empezó a distribuirse un virus en las instalaciones deuna empresa.
• La distribución consistía de tomar las listas dedistribución de los miembros.
• Toda la compañía quedó sin comunicaciones, ya que elpoderoso virus congestionó la Red completa, por ellapso de tres horas. La facturación de la empresa esalrededor de 2.000.000.000,00 de dólares anuales.
• 2.000.000.000 se dividen por 4380 horas de trabajoal año y se multiplica por 3 horas perdidas, lo que nosarroja un total de $1.369.863,01 USD.
Caso real:
INTRODUCCION
Phishing
“Se conoce como ‘phishing’ a la suplantación de identidad con el fin de apropiarse de datos confidenciales de
los usuarios ”.
¿Qué es el Phishing?
• Uso de un tipo de ingeniería social, caracterizadopor intentar adquirir información confidencial deforma fraudulenta.
• El estafador (phisher) se hace pasar por unapersona o empresa de confianza en una aparentecomunicación oficial electrónica, por lo común uncorreo electrónico o algún sistema de mensajeríainstantánea.
Historia del phishing
•El término phishing viene de la palabra en inglés"fishing" (pesca).
•También se dice que el término "phishing" es lacontracción de "password harvesting fishing"(cosecha y pesca de contraseñas).
•La primera mención del término phishing data en1996, fue adoptado por crackers que intentaban"pescar" cuentas de miembros de AOL.
Intentos recientes de phishing
• Los intentos más recientes de phishing se han comenzado adirigir a clientes de bancos y servicios de pago en línea.
• En principio es enviado por phishers de forma indiscriminadacon la esperanza de encontrar a un cliente de dicho banco oservicio.
• Estudios recientes muestran que los phishers son capaces deestablecer con qué banco una posible víctima tiene relación,y de ese modo enviar un e-mail, falseado apropiadamente, ala posible víctima.
• En términos generales, esta variantehacia objetivos específicos en el phishingse ha denominado spear phishing(literalmente phishing con lanza).
Técnicas de phishing
• Mostrar que un enlace en un correo electrónicoparezca una copia de la organización por la cual sehace pasar.
• URLs mal escritas o el uso de subdominios sontrucos comúnmente usados por phishers.
Disfrazar un enlace
• Este tipo de ataque resulta particularmenteproblemático, ya que dirigen al usuario a iniciarsesión en la propia página del banco o servicio, dondela URL y los certificados de seguridad parecencorrectos.
• El "phishing" tiene relativamente un alto índice deéxito, y uno de cada 20 emails consigue su objetivo.
Técnicas de phishing
Disfrazar un enlace
• Hay varios métodos para disfrazar un enlace, entre los más usados se encuentran:
Técnicas de phishing
Disfrazar un enlace
Técnicas de phishing
Disfrazar un enlace
17%
19%
20%
20%
24%
Técnicas de phishing
Disfrazar un enlace
31%
9%59%
1%0%
• Otro ejemplo es el de utilizar direcciones quecontengan el carácter arroba: @, paraposteriormente preguntar el nombre de usuario ycontraseña.
• Por ejemplo, el enlace:http://[email protected]/se puede creer que el enlace va a abrir en la páginade www.google.com, cuando realmente el enlaceenvía al navegador a la página demembers.tripod.com (y al intentar entrar con elnombre de usuario de www.google.com, si no existetal usuario, la página abrirá normalmente).
• Este método ha sido erradicado desde entonces enlos navegadores de Mozilla e Internet Explorer.
Técnicas de phishing
Disfrazar un enlace
Técnicas de phishing
Ejemplo de un intento de phishing, haciéndose pasar por une-mail oficial, trata de engañar a los miembros del bancopara que den información acerca de su cuenta con un enlacea la página del phisher.
Hemos recibido el aviso que has procurado recientemente retirar la siguientesuma de tu cuenta.
Si esta información no está correcta, alguien desconocido puede tener acceso a tucuenta. Como medida de seguridad, visite nuestro sitio Web, a través del link quese encuentra aquí abajo para verificar tu información personal
Una vez que has hecho esto, nuestro departamento de fraude trabajará pararesolverlo.
Técnicas de phishing
Técnicas de phishing
• Los atacantes han empezado a usar animacioneshechas con Flash para crear sitios falsos.
• Estrategia para evadir los programas anti-phishing.
• Dichos programas revisan el texto de una páginaWeb en busca de frases sospechosas.
• El uso de Flash representa el siguiente paso en estaevolución.
Phlashing
Lavado de dinero producto del phishing
•Se tiendiende a la captación de personas por mediode e-mails, chats, donde empresas ficticias lesofrecen trabajo.
•Las personas que aceptan se convierten en víctimasque incurren en un grave delito : el blanqueo dedinero obtenido a través del acto fraudulento dephishing.
Otra forma de Estafa
• Para darse de alta debe rellenar un formularioindicando entre otros datos, la cuenta bancaria.
• La finalidad es ingresar en esa cuenta el dinero delas estafas bancarias realizadas por el phishing.
• Con cada acto la víctima recibe el cuantioso ingresoen su cuenta bancaria y es avisado por parte de laempresa del mismo.
Lavado de dinero producto del phishing
Otra forma de Estafa
• Después del ingreso la víctima se quedará con un10%-20%, como comisión de trabajo y el resto loreenviará a cuentas indicadas por la seudo-empresa.
• Dado el desconocimiento de la víctima, esta se veinvolucrada en un acto de estafa importante,pudiéndose ver requerido por la justicia.
Lavado de dinero producto del phishing
Otra forma de Estafa
• Los daños causados oscilan entre la pérdida del acceso alcorreo electrónico a pérdidas económicas sustanciales.
• Esto se da por la facilidad con que las personas revelaninformación personal a los phishers.
Daños causados por el phishing
• La mejor arma es estar informado de que existe y decómo se lleva a cabo.
• Una estrategia es entrenar a los usuarios paraenfrentarse a posibles ataques.
• Todas las entidades bancarias han anunciado ya poractivo y por pasivo que nunca solicitarían datos a susclientes vía email ni telefónicamente.
Como combatir el Phishing
Respuesta Social
• Si un correo electrónico se dirige al usuario de unamanera genérica como ("Querido miembro de xxxx")es probable que sea un intento de phishing.
• Las páginas han añadido herramientas de verificaciónque permite a los usuarios ver imágenes secretasque los usuarios seleccionan por adelantado, sí estasimágenes no aparecen, entonces el sitio no eslegítimo.
Respuesta Social
Como combatir el Phishing
“Nunca responda a solicitudes de información personal a través de correo electrónico”.
• Las entidades u organismos NUNCA solicitancontraseñas, números de tarjeta de crédito o cualquierinformación personal por correo electrónico, porteléfono o SMS. Ellos ya tienen sus datos.
• Si piensa que el mensaje es legítimo, comuníquesecon la empresa .
Paso 1:
Respuesta Social
Procedimientos para protegerse del "phishing“:
“Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones”.
• Si sospecha de la legitimidad de un mensaje decorreo electrónico de la empresa, no siga los enlaces.
• Las nuevas versiones de Internet Explorer hacen másdifícil falsificar la barra de direcciones, visite WindowsUpdate regularmente y actualice su software.
Paso 2:
Respuesta Social
Procedimientos para protegerse del "phishing“:
“Asegúrese de que el sitio Web utiliza cifrado”.
• Antes de ingresar cualquier tipo de informaciónpersonal, compruebe si el sitio Web utiliza cifrado paratransmitir la información personal.
• En Internet Explorer puede comprobarlo con el iconode color amarillo situado en la barra de estado.
Paso 3:
Respuesta Social
Procedimientos para protegerse del "phishing“:
“Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito”.
• Incluso si sigue los tres pasos anteriores, puedeconvertirse en víctima.
• Si consulta sus saldos bancarios y de sus tarjetasde crédito al menos una vez al mes, podrásorprender al estafador.
Paso 4:
Respuesta Social
Procedimientos para protegerse del "phishing“:
“Comunique los posibles delitos relacionados con su información personal a las autoridades
competentes”.
• Si cree que ha sido víctima de "phishing", proceda delsiguiente modo:
Informe inmediatamente del fraude a la empresaafectada.
Proporcione los detalles del estafador y los mensajesrecibidos, a la autoridad competente a través delCentro de denuncias de fraude en Internet.
Paso 5:
Respuesta Social
Procedimientos para protegerse del "phishing“:
• Este centro trabaja en todo el mundo encolaboración con las autoridades legales para clausurarcon celeridad los sitios Web fraudulentos e identificar alos responsables del fraude.
Respuesta Social
Procedimientos para protegerse del "phishing“:
Paso 5:
Existen tecnologías específicas que tienen como blanco evitarel phishing.
• Indicador de nivel de Phishing actual
Se ha creado el indicador AlertPhising que ofrecen a susvisitantes información del estado de los ataques.
Respuestas técnicas
Anti-Phishing
• Filtro anti-phishing en Internet Explorer 7
• Internet Explorer 7, incorporó un filtro para proteger de sitioswebs falsificados.
• La tecnología será similar a la desplegada por las barras deherramientas anti-phishing, basándose en la detección:
"heurística" (patrones genéricos),
listas negras,
listas blancas de sitios confiables.
• El usuario podrá visualizar diferentes avisos que le indicaránel grado de peligrosidad de la página web que visita.
Respuestas técnicas
Anti-Phishing
Respuestas técnicas
Anti-Phishing
Barras anti-phishing para navegadores
Respuestas legislativas y judiciales
•El 26 de enero de 2004, la FTC (Federal TradeCommission) llevó a juicio el primer caso contra unphisher sospechoso.
•Un adolescente de California, creó y utilizó una páginaweb con un diseño que aparentaba ser la página deAmerican Online para poder robar números detarjetas de crédito.
•En los Estados Unidos, se introdujo el Acta Anti-Phishing del 2005 el 1 de marzo del 2005.
•Esta ley federal establecía una multa de hasta$250.000 USD y penas de cárcel por un término dehasta cinco años.
• La compañía Microsoft también se ha unido alesfuerzo de combatir el phishing.
Respuestas legislativas y judiciales
•El 31 de marzo del 2005, Microsoft llevó a la Cortedel Distrito de Washington 117 pleitos federales.
•En marzo del 2005 también se consideró laasociación entre Microsoft y el gobierno deAustralia para educar sobre mejoras a la ley quepermitirían combatir varios crímenes cibernéticos,incluyendo el phishing.
Respuestas legislativas y judiciales
Tapa diario Clarín. Domingo 27 de agosto de 2006
Notas Importantes
Los 10 virus más detectados
Notas Importantes
¿Cómo lo denuncio?
• La Asociación de Internautas creó un conducto a travésdel cual los internautas pueden denunciar las estafa pormedio del uso de phishing en internet.
• Para ello solo se tiene que mandar un correo [email protected] adjuntando el mail recibidoo la web que intenta el robo de datos.
• El propósito de la Asociación de Internautas es evitar yERRADICAR DE UNA VEZ los posibles intentos de estafasrealizado mediante el uso de phishing.
http://seguridad.internautas.org//
• Debemos mencionar que no existe un sistemacomputarizado que garantice al 100% la seguridadde la información, por la inmensa mayoría dediferentes formas con las cuales se pueden romperla seguridad de un sistema.
• Dado el creciente número de denuncias deincidentes relacionados con el phishing se requierenmétodos adicionales de protección.
• Se han realizado intentos con leyes que castigan lapráctica, campañas para prevenir a los usuarios yaplicación de medidas técnicas a los programas, yaun así no es suficiente.
Conclusión
Bibliografía
Wikipedia, la enciclopedia libre. En: es.wikipedia.org/wiki/Phishing
Páginas Web para robar datos. N. Rojo. Septiembre 20004. En:http://www.consumer.es/web/es/tecnologia/internet/2004/09/22/109261.php
Robo de datos Por Internet. El 'phishing', delito informático de moda. L. Tejero. Julio de 2004. En:http://www.elmundo.es/navegante/2004/07/29/esociedad/1091118343.html
Todo lo que debe saber acerca del "phishing“. Publicado: 27/05/04. En:http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
Filtro antiphishing en Internet Explorer 7. http://www.desarrolloweb.com/articulos/2099.php
Qué es el phishing y cómo protegersehttp://www.seguridad.internautas.org/w-
contactar.php
Phishing: Un peligro para la banca on-linehttp://www.delitosinformaticos.com
Un ejemplo de ataque phisinghttp://www.shellsegurity.com
Phishinghttp://www.mattica.com
Phishing, otra forma de aprovecharse de las personashttp://www.infobaeprofesional.com
Bibliografía